Azure Key Vault kullanmaya yönelik en iyi yöntemler

Azure Key Vault şifreleme anahtarlarını ve sertifikalar, bağlantı dizeleri ve parolalar gibi gizli dizileri korur. Bu makale, anahtar kasaları kullanımınızı iyileştirmenize yardımcı olur.

Ayrı anahtar kasaları kullanma

Uygulama başına ortam başına (geliştirme, üretim öncesi ve üretim) bölge başına kasa kullanılması önerimizdir. Bu, ortamlar ve bölgeler arasında gizli dizileri paylaşmamanıza yardımcı olur. Ayrıca bir ihlal durumunda tehdidi azaltır.

Neden ayrı anahtar kasaları öneririz?

Anahtar kasaları, depolanan gizli diziler için güvenlik sınırlarını tanımlar. Gizli dizilerin aynı kasada gruplanması, güvenlik olayının patlama yarıçapını artırır çünkü saldırılar endişeler arasında gizli dizilere erişebilir. Endişeler arasında erişimi azaltmak için belirli bir uygulamanın erişmesi gereken gizli dizileri göz önünde bulundurun ve ardından anahtar kasalarınızı bu delineasyona göre ayırın. Anahtar kasalarını uygulamaya göre ayırmak en yaygın sınırdır. Ancak güvenlik sınırları, örneğin ilgili hizmetler grubu başına büyük uygulamalar için daha ayrıntılı olabilir.

Kasanıza erişimi denetleme

Şifreleme anahtarları ve sertifikalar, bağlantı dizeleri ve parolalar gibi gizli diziler hassas ve iş açısından kritik öneme sahiptir. Yalnızca yetkili uygulamalara ve kullanıcılara izin vererek anahtar kasalarınıza erişimin güvenliğini sağlamanız gerekir. Azure Key Vault güvenlik özellikleri, Key Vault erişim modeline genel bir bakış sağlar. Kimlik doğrulaması ve yetkilendirme açıklanmaktadır. Ayrıca anahtar kasalarınıza erişimin güvenliğinin nasıl sağlandığı da açıklanır.

Kasanıza erişimi denetlemeye yönelik öneriler şunlardır:

  • Aboneliğinize, kaynak grubunuza ve anahtar kasalarınıza erişimi kilitleyin (rol tabanlı erişim denetimi (RBAC)).
  • Her kasa için erişim ilkeleri oluşturun.
  • Erişim vermek için en az ayrıcalık erişim ilkesini kullanın.
  • Güvenlik duvarını ve sanal ağ hizmet uç noktalarını açın.

Kasanız için veri korumayı açma

Geçici silme etkinleştirildikten sonra bile gizli dizilerin ve anahtar kasasının kötü amaçlı veya yanlışlıkla silinmesine karşı koruma sağlamak için temizleme korumasını açın.

Daha fazla bilgi için bkz. Azure Key Vault geçici silmeye genel bakış

Günlüğe kaydetmeyi etkinleştirin

Kasanız için günlüğe kaydetmeyi açın. Ayrıca , uyarıları ayarlayın.

Backup

Temizleme koruması, kasa nesnelerinin 90 güne kadar kötü amaçlı ve yanlışlıkla silinmesini önler. Temizleme korumasının olası bir seçenek olmadığı senaryolarda, kasa içinde oluşturulan şifreleme anahtarları gibi diğer kaynaklardan yeniden oluşturulamaz yedekleme kasası nesnelerini öneririz.

Yedekleme hakkında daha fazla bilgi için bkz. Azure Key Vault yedekleme ve geri yükleme

Çok müşterili çözümler ve Key Vault

Çok kiracılı bir çözüm, bileşenlerin birden çok müşteriye veya kiracıya hizmet vermek için kullanıldığı bir mimari üzerine kurulmuştur. Çok kiracılı çözümler genellikle hizmet olarak yazılım (SaaS) çözümlerini desteklemek için kullanılır. Key Vault içeren çok kiracılı bir çözüm oluşturuyorsanız Çok kiracılı ve Azure Key Vault'ı gözden geçirin.

Sık Sorulan Sorular:

Key Vault içindeki uygulama ekiplerine yalıtım sağlamak için Key Vault rol tabanlı erişim denetimi (RBAC) izin modeli nesne kapsamı atamalarını kullanabilir miyim?

Hayır. RBAC izin modeli, kullanıcı veya uygulamaya Key Vault içindeki tek tek nesnelere erişim atamaya olanak tanır, ancak ağ erişim denetimi, izleme ve nesne yönetimi gibi tüm yönetim işlemleri kasa düzeyinde izinler gerektirir ve bu izinler daha sonra uygulama ekiplerindeki işleçlere güvenli bilgileri gösterir.

Sonraki adımlar

Anahtar yönetimi en iyi yöntemleri hakkında daha fazla bilgi edinin: